Aplikasi Baidu di Google Play Membocorkan Data sensitif

Aplikasi mengumpulkan data detail sensitif pengguna

270
baidu google play
Penyerang di dunia maya dapat menggunakan informasi tersebut untuk melacak pengguna di berbagai perangkat, menonaktifkan layanan, atau menganggu pesan dan panggilan telepon.

Teknologi.info – Beberapa aplikasi Android yang ditemukan di Google Play, termasuk Baidu Search Box dan Baidu Maps, ditemukan oleh para peneliti bisa membocorkan data yang dapat digunakan untuk melacak pengguna – bahkan jika user berganti ponsel pintar mereka.

Menurut peneliti Palo Alto Unit 42, masing-masing aplikasi telah diunduh jutaan kali. Saat ini aplikasi tersebut sudah dihapus dari Google Play. Akan tetapi, bagi siapa saja yang masih memasang salah satu dari aplikasi tersebut masih terpapar risiko yang mungkin ada.

Peneliti menemukan aplikasi yang dimaksud untuk mengekspos berbagai informasi, termasuk: Model ponsel; resolusi layar; alamat MAC telepon; operator nirkabel; jaringan (Wi-Fi, 2G, 3G, 4G, 5G); ID Android; Identitas Pelanggan Seluler Internasional (IMSI); dan International Mobile Equipment Identity (IMEI).

Penjahat dunia maya pada gilirannya dapat menggunakan berbagai alat sniffing – seperti penangkap IMSI aktif dan pasif – untuk “mendengar” informasi ini dari pengguna ponsel.

“Sementara beberapa dari informasi ini, seperti resolusi layar, agak tidak berbahaya, data seperti IMSI dapat digunakan untuk mengidentifikasi dan melacak pengguna secara unik, bahkan jika pengguna tersebut beralih ke telepon lain dan mengambil nomor tersebut,” kata peneliti dengan Palo Alto Networks Unit 42.

IMEI adalah pengenal unik dari perangkat fisik dan menunjukkan informasi seperti tanggal pembuatan dan spesifikasi perangkat keras. Sementara itu, IMSI (International Mobile Subscriber Identity) secara unik mengidentifikasi pelanggan ke jaringan seluler dan biasanya dikaitkan dengan kartu SIM telepon, yang dapat ditransfer antar perangkat. Kedua pengenal dapat digunakan untuk melacak dan menemukan pengguna dalam jaringan seluler.

Karena itu, aplikasi Android yang mengumpulkan data semacam itu dapat melacak pengguna meskipun sudah berganti perangkat. Lebih jauh, periset memperingatkan:

“Misalnya, jika pengguna mengalihkan kartu SIM mereka ke ponsel baru dan menginstal aplikasi yang sebelumnya mengumpulkan dan mengirimkan nomor IMSI, pengembang aplikasi dapat mengidentifikasi pengguna tersebut secara unik.”

Selain mengikuti pengguna di seluruh perangkat, penyerang dapat mendatangkan malapetaka lebih lanjut, kata peneliti; misalnya, mereka dapat menggunakan nomor IMEI ponsel untuk melaporkan ponsel dicuri, memicu operator untuk memblokir aksesnya ke jaringan. Dan, penyerang dapat memanfaatkan informasi yang bocor untuk mencegat panggilan telepon atau pesan teks, menurut Unit 42.

Peneliti menemukan beberapa aplikasi Android yang memungkinkan terjadinya kebocoran data tersebut. Dua aplikasi terbesar yang ditemukan adalah Baidu Search Box dan Baidu Maps (Baidu adalah perusahaan internet yang berbasis di China yang tidak berbeda dengan Google dalam berbagai penawarannya). Google mengambil tindakan, dan Baidu Search Box versi “aman” tersedia di Google Play secara global pada 19 November, sementara Baidu Maps tetap tidak tersedia secara global (setidaknya sampai berita ini ditulis).

Aplikasi yang bertentangan dengan aturan Google Play lainnya yang tersedia di Google Play di AS adalah Homestyler – aplikasi dekorasi interior yang menurut para peneliti belum dihapus. Dan, peneliti menandai SDK Android yang dikenal sebagai ShareSDK, dari vendor Cina MobTech.

“ShareSDK mendukung lebih dari 40 platform media sosial. Ini membantu pengembang aplikasi pihak ketiga dengan mudah mengakses berbagai data media sosial. Ini juga memungkinkan mereka memperoleh informasi pengguna, daftar teman, dan fungsi sosial lainnya. Saat ini, ShareSDK menawarkan layanan untuk lebih dari 37.500 aplikasi, dan telah menjadi platform layanan pengembang terbesar di China.”

Kebocoran data dari aplikasi Android dan SDK merupakan pelanggaran serius terhadap privasi pengguna, meskipun pengembang sering tidak menyadari bahwa aplikasi mereka berisiko, catat para peneliti.

“Meskipun bukan merupakan pelanggaran pasti terhadap kebijakan Google untuk aplikasi Android, pengumpulan pengenal, seperti IMSI atau alamat MAC, tidak disarankan berdasarkan panduan kebijakan Android. Untuk mencegah kebocoran data, pengembang aplikasi Android harus mengikuti panduan Android dan menangani data pengguna dengan benar. Pengguna Android harus tetap mendapat informasi tentang izin yang diperlukan yang diminta oleh aplikasi di perangkat mereka.”

Sebuah laporan pada April 2019 menemukan bahwa jutaan aplikasi membocorkan informasi identitas pribadi (PII: Personally Identifiable Information) seperti nama, usia, pendapatan, dan bahkan mungkin nomor telepon dan alamat email. Yang salah adalah pengembang aplikasi yang tidak melindungi data penargetan iklan yang dikirimkan ke pengiklan pihak ketiga.

“Tempat download (Google Play) aplikasi telah ditemukan menampilkan aplikasi berbahaya yang mengumpulkan informasi pengguna tanpa persetujuan pengguna. Seperti perangkat IoT, aplikasi terlalu sering dikembangkan tanpa memikirkan keamanan dan privasi. Aplikasi gratis yang menampilkan iklan sangat rentan terhadap serangan.” – Usman Rahim – Analis Ancaman Digital di The Media Trust.